1526天 剑客

重要的人越来越少,剩下的人也越来越重要 ​​

fofa搜一下,发现还真不少,因本人冲了300大洋 ,就从第5页往后看起了。大佬说明了登陆处存在注入,登陆抓包,sqlmap一把梭奈何sqlmap不太给力,等了半天也不见回显。不过堆叠注入是能够测出来的手工放包,看能否执行命令且能否出网撞大运了各位,直接cs上线哦吼,有惊无险,(第二个是后面提权返回的beacon)ip看一下,无内网,工作组环境。后面常规操作,查看权限,不是管理员,systemin...

因为不是我首次发现。所以匿名发布!来源:云剑侠心FOFA搜索词:body="棋牌后台管理系统" && title=="后台登录"#google|百度|bing|360|sogou 搜索: intitle=="后台登录" intext="棋牌后台管理系统"#post请求参数 ,把下面的post数据保存为文件1.txt ,然后修改192.168.1.2:端口 批量替换为目标IP地址、域...

遇到的问题就是,用户支付处存在fastjson漏洞,前端通过api访问后端,对api构造命令执行不回显解决办法:用fastjson反序列化漏洞执行后门和反弹shell不成功,想查看一下tomcat目录直接写马,但是执行命令无回显,想到了利用base64编码wget本地HTTP服务器解决:首先在本地python -m SimpleHTTPServer一下,然后打fastjson反序列化命令时,用ba...

本文分别介绍porcdump,Mimikatz,SharpDump,Impacket-secretsdump.py这几个工具使用注释: 记得要用管理员运行,否则会报错,报错如下       porcdump工具介绍ProcDump是一個命令行工具,其主要目的是監視CPU峰值的應用程序,並產生了Dump轉儲文件來供開發人員分析。ProcDump還可以...